Document Title

Wetsontwerp Cryptografie ontcijferd

De overheid stelt een verbod voor

Overzicht van de plannen t.b.v. bijeenkomst critici in de Balie, 1994

De regering wil alle cryptografie verbieden. In de strijd tegen de georganiseerde misdaad die zich niet meer zo makkelijk laat afluisteren, is nu een wet in de maak om het versleutelen van teksten aan banden te leggen. Als de wet zou worden aangenomen bepaalt de overheid welke cryptoprogramma's of apparatuur worden toegelaten, bovendien moet de sleutel van de gebruikte code bij een nieuw in het leven te roepen 'Beheersorgaan' in bewaring.
Bepaalde delen van de overheid kunnen vrijstelling krijgen, maar particulieren, waarmee in dit wetsvoorstel slechts bedrijven worden bedoeld, krijgen op aanvraag 'verlof' om van zo'n cryptostysteem gebruik te mogen maken. Alle andere cryptosystemen zouden worden verboden. Dat geldt niet alleen voor het aanbieden van apparatuur of diensten, maar ook voor iedere gebruiker. Een geheimtaal met de buurman afspreken mag nog net, maar zo gauw daar een computer aan te pas komt die aangesloten is op de telefoon kan het niet meer. In de praktijk van het versturen van e-mail is dit te vergelijken met een verbod op het dichtplakken van de envelop om een brief die op de post gaat.

De overheid, in casu de politie wil de mogelijkheid houden om telecommunicatie af te luisteren, maar ziet geen andere weg dan iedereen verbieden onverstaanbaar voor anderen te communiceren. De sancties die de wet biedt zijn verhoudingsgewijs marginaal. Als men er achter komt, uiteraard via rechtmatig afluisteren, dat twee criminelen gebruik maken van crypto-faxen, dan kan de gebruikte lijn voor hooguit drie dagen worden afgesloten. Of de boel kan in beslag genomen worden, met oplegging van een administratieve boete. Het is maar zeer de vraag in hoeverre de moderne mobiele crimineel, het schrikbeeld van de politie, met laptop en steeds wisselende draagbare telefoon zich hier uberhaupt iets van aantrekt.

Het wetsontwerp dat nu circuleert verdient in feite die naam nog niet. Het is een eerste opzet gemaakt door een aantal ambtenaren van de betrokken ministeries, met name die van Verkeer en Waterstaat en van Justitie. De ministers zelf moeten zich er nog over buigen voordat het ontwerp aan de Tweede Kamer wordt aangeboden. Dat dat nog voor de verkiezingen gebeurt is onwaarschijnlijk. (Daarna moet de Raad van State zich over het wetsvoorstel buigen en moet de wet door de beide Kamers worden aangenomen, gaat gauw twee jaar overheen).
Dit uitgelekte voorontwerp leidt nu al tot veel verontruste telefoontjes, met name vanuit het bedrijfsleven. Surfnet gaf een persbericht uit waarin de wet ongrondwettig werd genoemd vanwege schending van de vrijheid van meningsuiting. Bovendien was Surfnet hoogst verontwaardigd dat zij als betrokkene niet geconsulteerd was. Hopelijk is dit het begin van een storm van protest.
De wetgever maakt zich op dit moment vooral zorgen over de voortsnellende techniek en is met name bang dat nieuwere crypto- programma's nog veel moelijker te testen zijn op toelaatbaarheid. Dat gaat teveel kosten.

De nu volgende samenvatting van de Memorie van toelichting is gemaakt op basis van de ontwerptekst die begin april circuleert, citaten zijn afkomstig uit deze tekst, het weinige J&J-kommentaar steeds cursief gezet.

Het eigenlijk nog vertrouwelijke voorstel geeft een aardig beeld van de overwegingen die ten grondslag liggen aan de wet. Voor het formuleren van argumenten tegen en protesten is het zinvol te bekijken waar al over is nagedacht bij het plannen maken. De Memorie van toelichting geeft veel meer inzicht in het karakter van de wijzigingen, dat de wetsartikelen zelf. Zo blijkt uit de inleiding tamelijk onverbloemd dat de overheid met dit wetsvoorstel de oorlog verklaart aan de burger, die voor het recht wordt gelijkgesteld met een 'mogelijk vijandige mogenheid'.

Zoals de waard is, vertrouwt hij zijn gasten

'Zoals het echter voorheen mogelijk vijandige mogenheden het gebruik van geavanceerde cryptografie is onthouden, is het thans noodzakelijk geworden particulieren, indien zij een bedreiging voor de rechtsorde of voor instellingen van de staat of hun medeburgers zijn, te beperken in het gebruik van de technische mogelijkheden hun gegevensuitwisseling vertrouwelijk te houden. Waar particulieren, en daarmee criminelen, over dezelfde middelen gaan beschikken als voorheen mogelijk vijandige mogendheden, ligt het in de rede de regelgeving met betrekking tot de strijdmiddelen die particulieren worden toegestaan, meer in overeenstemming te brengen met die welke vanouds voor vijandige mogendheden bestaan'.

De regelgeving omtrent aftappen

De bevoegdheid om te kunnen aftappen binnen de grenzen van de wet dreigt zijn werking te verliezen, als degenen tegen wie zij zijn bedoeld, 'zich wapenen met middelen die, alle onderschepping van het benodigde signaal ten spijt, tot gevolg hebben dat geen bruikbare informatie voor de overheid ter beschikking komt.' Tot nu toe regelt het wetboek van strafrecht zowel de vertrouwelijkheid van telefoongesprekken als de mogelijkheid tot afluisteren. De Wet Computercriminaliteit maakte aftappen van fax en computer mogelijk. De rechtercommisssaris heeft de bevoegdheid de politie toestemming te verlenen op basis van artikel 125g en de PTT heeft de verplichting mee te werken op basis van art. 64 van de Wet op de Telecommunicatie. Voor geheime diensten geldt een aparte regeling.
De wetgever is zich ervan bewust dat het afluisteren van telecommunicatie een inbreuk is op de persoonlijke levenssfeer, (artikel 10 Grondwet en artikel 8 EVRM), Europese jurisprudentie geeft nauwe grenzen voor de toelaatbaarheid van taps. Wil men dat de werking van huidige bevoegdheden behouden blijft, dan moet de regelgeving zo aangevuld worden dat toegang tot inhoud van telecommunicatie mogelijk blijft.
De wetgever stelt in het algemeen de vraag of het zin heeft om te trachten juridische en technische ontwikkelingen bij te houden in die zin dat aftapbaarheid blijft bestaan. Sommigen zeggen dat het praktisch niet te verwerkelijken zou zijn.

'Wij menen dat evenwel het te verwachten toenemende belang van telecommunicatie in de komende informatiemaatschappij ertoe zal leiden dat ook criminelen en staatsgevaarlijke personen bij de voorbereiding van hun werkzaamheden meer nog dan thans gebruik zullen maken van de ter beschikking komende technische mogelijkheden.' Dus is het noodzakelijk alles in het werk stellen dat ook de overheid daarop greep blijft houden. De cryptografiewet wordt een apart hoofdstuk in de Wet op Telecomvoorzieningen.

Hoofdlijnen

Soms is crypto onontbeerlijk voor overheid en private personen, waarmee wordt bedoeld: rechtspersonen. Deze nieuwe wet regelt enerzijds wie er verlof krijgt crypto -onder voorwaarden, nl. inleveren van de sleutel te gebruiken- of aan te bieden, ofwel vrijgesteld wordt van het vragen van toestemming. Anderzijds bepaalt de wet welke systemen er toegelaten worden en wie ze op de markt mag brengen.
Voor particulieren komt er een vergunningensysteem: de overheid verleent 'verlof' voor het gebruiken van toegelaten cryptosystemen en je moet aannemlijk kunnen maken dat je dat nodig hebt met het oog op een gerechtvaardigd belang. Men denkt daarbij aan bedrijven die gevoelige informatie uitwisselen met een dochteronderneming.
Overheidsorganen of organen met andere publieke taken worden bij ministeriële regeling vrijgesteld van de vergunningplicht.
Waar de (semi-)overheid ophoudt wordt niet vermeld. Particulieren in de zin van personen komen in het hele wetsvoorstel niet voor.

Handhaving van het verbod op gebruik van crypto is illusoir als niet meteen het aanbod aan banden wordt gelegd. Er is veel vrij verkrijgbaar en 'voor een deel is dit allszins gerechtvaardigd'. Soms is dat een probleem voor criminaliteitsbestrijders; het kost moeite, maar vooral als ze weten welk programma is gebruikt komen ze een eind.
Sommige vormen van crypto, als de elektronische handtekening, hebben dusdanig econmisch belang dat ze niet verboden worden.
Toelating is slechts mogelijk als het desbetreffende algoritme, de sleutel, en info over dat systeem bekend is bij een nieuw op te richten centraal beheersorgaan aanwezig is. Ook is toelating mogelijk als crypto-systeem 'naar zijn aard niet kan worden aangewend om berichten onbegrijpelijk te maken'.
Toelating hangt mede af van de stand van de techniek, in hun woorden 'een evalutatie van de desbetreffende vorm van cryptografie'. Het ministerie van Verkeer en Waterstaat wijst een instituut aan dat daar een oordeel over mag geven. Dat instituut is niet hetzelfde als het Beheersorgaan. Nieuwe systemen en apparatuur zullen worden getest.

Het Beheersorgaan

Verkeer en Waterstaat roept een Beheersorgaan in het leven. Dat is belast met het beheer van informatie over cryptosystemen en algoritmen in verband met aanvragen voor toelatingen en machtigingen. Offici‰le afluisteraars moeten met hun toestemming van de rechtercommissaris langs dit orgaan om aan te tonen dat het gaat om opsporing van strafbare feiten. Geheime diensten moeten de vier handtekeningen van ministers meenemen om te laten zien dat ze toestemming hebben. In ruil daarvoor krijgen ze de sleutel van degene die ze af willen luisteren. Aftappen van de ether mag echter zonder al deze poespas.

De minister van V&W is slechts beperkt verantwoordelijk voor dit orgaan, krijgt zelf ook niet alle info over crypto. Het orgaan heeft de rol van een zg. 'trusted third party'.
Info over sleutels wordt slechts gegeven op voorwaarde dat die kennis 'niet verdergaand bekend wordt dan strikt noodzakelijk'. De desbetreffende overheidsdienst c.q. afluisteraar moet de sleutels vernietigen na gebruik.

Hoe dat gecontroleerd moet worden staat er niet.

Overheden die zijn vrijgesteld kunnen niet verplicht worden informatie over hun systeem bij het Beheersorgaan neer te leggen. Er mogen ook andere organen in het leven geroepen worden die een zelfde rol spelen als het Beheersorgaan van de overheid.

Geheimhouding

Mocht de aanvraag voor een vergunning worden afgewezen, dan is er de mogelijkheid tot beroep bij het College voor Beroep voor het bedrijfsleven. Maar mag de klager dan ook kennisnemen van het dossier, om er achter te komen waarom hij is afgewezen? Dat is een moeilijk punt voor de wetgever. Een mogelijkheid zou zijn dat de rechter inzage krijgt, indien daarvoor gewichtige redenen zijn. Die kan dan op grondslag van wat hij gelezen heeft uitspraak doen.
Daarnaast wordt de Beroepswet opnieuw vastgesteld en is die waarschijnlijk eerder van kracht dan de Cryptowet, zodat het administratieve proceswrecht adequaat zal kunnen inspelen op mogelijke vraagstukken van openbaarheid versus de noodzakelijke geheimhouding van bepaalde aspekten van cryptografie. Een andere vraag is hoe gecontroleerd kan worden dat afluisterende autoriteiten zich aan deze nieuwe wet hebben gehouden. Bij het vermoeden van onrechtmatig verkregen bewijs is het aan de rechter om nader onderzoek te laten doen door de rechtercommissaris. De rechter zou vragen van de verdediging aan de afluisteraars kunnen stellen zonder dat de advocaten daarbij aanwezig zijn. Het wetsvoorstel maakt een vergelijking van de afluisteraar als anonieme, bedreigde getuige.

Handhaving

Handhaving is een bijzonder punt van zorg. Als de overheid het af laat weten, zullen criminelen geneigd zijn zich minder aan de regels te houden. Hoe moet dat?
Het aanbod van cryptografie is gereguleerd, betreft zowel ingebouwd in hardware, als aangeboden als dienst. De machtiging tot gebruik is gekoppeld aan beschikbaarheid van informatie over gebruikte crypto incl. de sleutels. Wie een machtiging heeft moet inzage geven in volgens vastgestelde regels bijgehouden administratie. Het betreft hier meest bedrijven, de sanctie op niet-naleving van de regels kan beëindiging van de bedrijfsvoering zijn.
Gebruik van illegale crypto wordt aldus teruggedrongen door beperking van het aanbod. Aanbieders van verboden crypto als dienst lopen het gevaar van intrekking van de machtiging. Andere mogelijkheden zijn het in beslag nemen van de spullen, een administratieve boete opleggen of zelfs het voor maximaal 3 dagen afsluiten van de lijn. Bij communicatie door de ether mag de niet- toegestane crypto worden gestoord.

Internationale aspekten

Hoe is het gesteld met het gebruik van buitenlandse cryptografie?
Dat is verschillend. Het in bezit hebben van buitenlandse apparaten met crypto voorzieningen is zonder meer strafbaar. Anders is dit met de buitenlander die op netwerken crypto aanbiedt. Er is jurisprudentie die zegt dat het mogelijk is dat men zich in het buitenland bevindend, hier te landen een misdrijf pleegt. Als de gevolgen zich in Nederland voordoen, is men hier strafbaar. Een ander probleem is de beperking die wordt opgelegd door Europese regelgeving.
Sinds 1991 is er een Richtlijn van de Europese Raad die streeft naar onderlinge aanpassing van wetgeving van de lidstaten betreffende eindapparatuur voor telecommunicatie. Deze richtlijn verbied in beginsel aanvullende technische normen aan randapparatuur die verder gaan dan de conforme europese eisen. Het European Telecommunication Standardization Institute (ETSI) bepaalt de standaarden waaraan moet worden voldaan. Uit de Memorie van toelichting is te lezen dat Nederland zich zorgen maakt over de huidige internationale standaarden die het aftappen geheel of nagenoeg onmogelijk maken. Als de Nederlandse inbreng er in slaagt in ETSI aanvaardbare normen tot stand te brengen, dan zou deze hele wet niet nodig zijn.

Vervolgens wordt een hele bladzij gewijd aan het feit dat Nederland met deze wet ingaat tegen de Europese regelgeving. In feite zou alle cryptografie die ergens binnen de EG op de markt is gebracht in Nederland onbelemmerd moeten worden toegelaten. Dan toch cryptografie hier verbieden mag volgens jurisprudentie van het Europese Hof alleen als het noodzakelijk is voor criminaliteitsbestrijding of de staatsveiligheid en mag niet verder reiken dan dat doel. Daarmee zou het bezwaar omzeilt zijn. Overigens vindt op allerlei Europese niveaus overleg plaats om deze ongemakkelijke situatie uit de weg te ruimen.

De financiële en personele konsekwenties

De meest gangbare, thans in gebruik zijnde vormen van crypto zullen worden toegelaten, dus in het begin zal de extra werkdruk beperkt zijn. Het toezicht op de naleving zal deel uitmaken van de reguliere controle op ethergebruik of gebruik van telecommunicatie. Uiteraard zal onrechtmatig gebruik pas kunnen worden geconstateerd als de desbetreffende communicatie rechtmatig wordt afgetapt. Enige uitbreiding van opsporingsapparaat dat Verkeer en Waterstaat valt zal onvermijdelijk zijn, men denkt aan twintig extra bijzondere opsporingsambtenaren. Wat dat aan miljoenen gaat kosten is in deze versie van het voorstel nog niet ingevuld.
Het Beheersorgaan bemand door 3 mensen is begroot op 3,3 ton per jaar. Twee miljoen wordt uitgetrokken om 8 mensen nieuwe crypto te laten evalueren. De kosten komen ten laste van de Rijksbegroting.

Begripsbepaling

'Cryptografie wordt omschreven als een verzameling van opdrachten kennelijk bestemd om langs geautomatiseerde weg gegevens te bewerken. Gedacht moet worden aan een serie bewerkingen die achtereenvolgens op aanvankelijk direkt begrijpelijke of direkt bruikbare gegevens moeten worden uitgevoerd, ten einde de begrijpelijkheid of bruikbaarheid voor degenen die niet bekend zijn met de serie opdrachten, zo niet onmoglijk te maken, dan toch in ieder geval te bemoelijken. Het is niet noodzakelijk dat de serie opdrachten is vastgelegd in computerprogrammatuur. De bewerkingen kunnen bijv. ook mechnisch worden uitgevoerd. Handmatig vercijfering valt niet onder de definitie.'

Het moet eenvoudige handelingen betreffen, het moet onmiddelijk kunnen worden gebruikt. Ook crypto die gegevens beveiligt in 'alleenstaande computer' vallen onder de regeling als ze tevens eventueel te gebruiken zijn voor het beveiligen van telecommunicatie.
'De gegevens worden niet meer direkt begrijpelijk indien zij voor iemand behorend tot dezelfde taalgemeenschap als de oorspronkelijke gebruiker, geen informatie meer bevatten.'

'De piepjes die pijnlijk een menselijk oor treffen indien hij per ongelijk een faxnummer draait, zijn gegevens die voor hem onbegrijpelijk zijn, doch bruikbaar voor het faxapparaat.' Het wordt pas verboden als het faxsignaal vercijferd wordt doorgegeven.

De Memorie besluit met een begripsgewijze toelichting waarin wordt uitgelegd op welke wetsartikelen de nieuwe bevoegdheden van de overheid zijn geregeld.

N.B. Na een storm van kritiek is dit wetsvoorstel weer ingetrokken.

Evel